Уязвимость в Steam позволяла загружать ключи активации к любым играм

За сообщение об уязвимости исследователь безопасности получил от Valve $20 тыс.

Украинский исследователь безопасности Артем Московский обнаружил уязвимость, позволившую ему загрузить ключи активации любых игр, когда-либо выпущенных через Steam. Проблема затрагивала платформу Steamworks от Valve, используемую разработчиками для создания и публикации игр через клиент Steam.

Сама уязвимость присутствовала в Steam web API, расположенном в partner.steamgames.com/partnercdkeys/assignkeys/. Данный API позволяет разработчикам получать доступные пользователям Steam ключи активации и предоставлять их своим пользователям, чтобы они могли активировать игры, загруженные через клиент Steam.

Получить доступ к API можно через обычную учетную запись, указав необходимые параметры. Наиболее важными параметрами являются appid (представляет игру), keyid (представляет идентификатор набора ключей активации) и keycount (представляет число ключей, которые Steam нужно вернуть в наборе ключей активации).

В обычных условиях при попытке разработчика получить ключи к чужой игре Steam выдает ошибку. Тем не менее, исследователю удалось получить файл с ключами активации любых игр, указав «0» в качестве параметра keycount.

Московский сообщил Valve об уязвимости еще в августе нынешнего года, и компания исправила ее в течение нескольких дней, однако раскрыть подробности о проблеме исследователю было разрешено только сейчас. За сообщение об уязвимости ему было выплачено вознаграждение в размере $20 тыс.

Источник: securitylab.ru

Вы можете оставить комментарий, или ссылку на Ваш сайт.


Оставить комментарий

Вы должны войти, чтобы иметь возможность оставлять комментарии.